CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2025-3714
Critical

Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.

CVE-2025-3711
Critical

Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.

CVE-2025-3710
Critical

Przełącznik LCD KVM over IP CL5708IM ma podatność na przepełnienie bufora na stosie w wersjach oprogramowania układowego przed v2.2.215. Umożliwia to nieautoryzowanym zdalnym atakującym wykorzystanie tej podatności do wykonania dowolnego kodu na urządzeniu.

CVE-2025-29972
Critical

Podatność CVE-2025-29972 dotyczy ataku typu server-side request forgery (SSRF) w Azure Storage Resource Provider, który pozwala autoryzowanemu napastnikowi na przeprowadzenie spoofingu w sieci.

CVE-2025-29813
Critical

Podatność CVE-2025-29813 dotyczy obejścia uwierzytelniania w Azure DevOps, które wynika z założenia, że dane są niezmienne. Umożliwia to nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2023-31585
Critical

Grocery-CMS-PHP-Restful-API w wersji 1.3 jest podatny na atak związany z przesyłaniem plików poprzez skrypt /admin/add-category.php. Atakujący może wykorzystać tę podatność do przesłania złośliwych plików na serwer.

CVE-2025-0505
Critical

W systemach Arista CloudVision (wirtualnych lub fizycznych wdrożeniach lokalnych) funkcja Zero Touch Provisioning może być wykorzystana do uzyskania uprawnień administratora w systemie CloudVision, co daje więcej uprawnień niż to konieczne. Może to być użyte do zapytania lub manipulacji stanem systemu dla zarządzanych urządzeń.

CVE-2024-12378
Critical

Na podatnych platformach działających na Arista EOS z skonfigurowanym bezpiecznym Vxlan, ponowne uruchomienie agenta Tunnelsec spowoduje, że pakiety będą przesyłane przez bezpieczne tuneli Vxlan w postaci niezaszyfrowanej.

CVE-2024-11186
Critical

W dotkniętych wersjach portalu CloudVision występują niewłaściwe kontrole dostępu, które mogą umożliwić złośliwemu uwierzytelnionemu użytkownikowi podejmowanie szerszych działań na zarządzanych urządzeniach EOS niż zamierzono. Problem dotyczy produktów Arista CloudVision Portal działających lokalnie.

CVE-2025-47657
Critical

Podatność CVE-2025-47657 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wstrzyknięcia SQL w systemie Productive Commerce. Problem ten dotyczy wersji od n/a do 1.1.40 włącznie.

CVE-2025-47549
Critical

Podatność CVE-2025-47549 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w wtyczce Themefic BEAF beaf-before-and-after-gallery, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji BEAF od n/a do 4.6.10 włącznie.

CVE-2025-4104
Critical

Wtyczka Frontend Dashboard dla WordPressa jest podatna na eskalację uprawnień z powodu braku sprawdzenia uprawnień w funkcji fed_wp_ajax_fed_login_form_post() w wersjach od 1.0 do 2.2.6. Umożliwia to nieautoryzowanym atakującym zresetowanie adresu e-mail i hasła administratora oraz podniesienie swoich uprawnień do poziomu administratora.

CVE-2025-3844
Critical

Wtyczka PeproDev Ultimate Profile Solutions dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 1.9.1 do 7.5.2. Problem wynika z braku odpowiednich ograniczeń w funkcji handel_ajax_req(), co umożliwia ustawienie kodu OTP i zalogowanie się przy jego użyciu.

CVE-2025-0855
Critical

Wtyczka PGS Core dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 5.8.0, poprzez deserializację nieufnych danych wejściowych w funkcji 'import_header'. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie obiektów PHP.

CVE-2025-46816
Critical

goshs to prosty serwer HTTP napisany w Go. W wersjach od 0.3.4 do przed 1.0.5, uruchomienie goshs bez argumentów umożliwia każdemu wykonywanie poleceń na serwerze, ponieważ funkcja `dispatchReadPump` nie sprawdza opcji cli `-c`.

CVE-2025-3918
Critical

Wtyczka Job Listings dla WordPressa jest podatna na eskalację uprawnień z powodu niewłaściwej autoryzacji w funkcji register_action() w wersjach od 0.1 do 0.1.1. Handler rejestracji wtyczki odczytuje $_POST['user_role'] i przekazuje go bezpośrednio do wp_insert_user() bez ograniczenia do bezpiecznego zestawu ról.

CVE-2025-2421
Critical

W podatności CVE-2025-2421 występuje niewłaściwa kontrola generowania kodu ('wstrzykiwanie kodu') w systemie Profelis Informatics SambaBox, co umożliwia wstrzykiwanie kodu. Problem dotyczy wersji SambaBox przed 5.1.

CVE-2025-2812
Critical

W podatności CVE-2025-2812 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w systemie Mydata Informatics Ticket Sales Automation. Problem dotyczy wersji przed 03.04.2025.

CVE-2025-3746
Critical

Wtyczka OTP-less one tap Sign in dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta w wersjach od 2.0.14 do 2.0.59. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.

CVE-2025-35996
Critical

Wersje KUNBUS PiCtory 2.11.1 i wcześniejsze są podatne na atak typu cross-site scripting (XSS) z powodu braku odpowiedniego oczyszczania nazw plików przesyłanych przez API. Złośliwie skonstruowana nazwa pliku może być wykonana jako tag skryptu HTML, co prowadzi do potencjalnego wykonania nieautoryzowanego kodu w przeglądarce użytkownika.

PreviousPage 264 of 576Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS